log di IIS 5.1

[Fly(Ä)way]

Ho visualizzato i log che si trovano nella cartella C:\WINDOWS\system32\Logfiles\W3SVC1
All'interno dei log l'IP presente deve essere solo questo:
127.0.0.1
Perchè ho trovato qualcosa del genere all'interno del mio:
20:58:51 80.181.....GET /d/winnt/system32/cmd.exe 404
20:58:53 80.181.....GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:58:55 80.181.....GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500
20:58:57 80.181.....GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
20:59:08 80.181.....GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
Che significa che qualcuno....?

[barney09]

Originariamente inviato da Fly(Ä)way
Ho visualizzato i log che si trovano nella cartella C:\WINDOWS\system32\Logfiles\W3SVC1
All'interno dei log l'IP presente deve essere solo questo:
127.0.0.1
Perchè ho trovato qualcosa del genere all'interno del mio:
20:58:51 80.181.....GET /d/winnt/system32/cmd.exe 404
20:58:53 80.181.....GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:58:55 80.181.....GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500
20:58:57 80.181.....GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
20:59:08 80.181.....GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
Che significa che qualcuno....?

prova a cercare sul forum. ci dovrebbero essere diverse discussioni a riguardo.

In ogni caso si tratta di Nimda, un worm che si era diffuso un annetto fa, grazie a delle falle di W2000. Se il tuo OS è aggiornato con l'ultimo SP sei OK.

[Habanero]

Sono tentativi di accedere al cmd.exe (e ti lascio solo immaginare gli effetti) tramite noti vulnerabilità di IIS5. Alcuni virus tra l'altro cercano tali vulnerabilità per installarsi sui server web.

Nel tuo caso nessuno di tali tentativi è andato a buon fine.

[Fly(Ä)way]

L'ultimo log che ho trovato è stato questo:
#Software: Microsoft Internet Information Services 5.1
#Version: 1.0
#Date: 2003-01-27 02:43:43
#Fields: time c-ip cs-method cs-uri-stem sc-status
02:43:43 80.117.198.65 OPTIONS / 200
03:20:27 80.117.198.65 PROPFIND /ADMIN$ 404
03:25:22 80.117.198.65 OPTIONS / 200
03:25:25 80.117.198.65 PROPFIND /ADMIN$ 404
03:25:31 80.117.198.65 PROPFIND /ADMIN$ 404
potrei avere delle spiegazioni in merito, e come evitare intrusioni sul mio sistema.

[Fly(Ä)way]

Ho installato questa patch spero di aver fatto la ocs più giusta:
http://www.microsoft.com/Downloads/d...9-8A37AF61EF63
aspetto risposte, grazie.

[Fly(Ä)way]

Ho installato questa patch:
http://www.microsoft.com/Downloads/d...9-8A37AF61EF63
spero di aver fatto la cosa giusta, aspetto ub vostro consiglio.

[xirtam]

Anche io ho avuto i tuoi problemi, fortunatamente nel sito che gestisco sulla mia LAN, quindi visibile solo in essa... Non vorrei ricordare male ma con il SP1 di XP era compresa quella patch che hai installato... se non è così la installero anche io.
Ho postato anche io ma nessuno mi ha saputo dare delle indicazioni, probabilmente perchè il problema non è una stupidaggine, comunque visto che ciò è avvenuto in una area ristretta sono riuscito a risalire a chi è stato, ma purtoppo non posso dirgli niente. Se hai qualche novità rispondi, per adesso qui da noi la situazione è drammatica per il potente attacco Ddos alla rete mondiale di sabato mattina... quindi ho altro da fare.

ciao